El que muchos utilicen algo no significa que sea bueno. En realidad no significa nada. Si muchos sitios importantes usan cookies, hay que determinar en que aspectos lo usan.
Por ejemplo, para autenticación de usuarios que administran información financiera, no sólo NO usan cookies, sino que se deben colocar sistemas adicionales de seguridad que impidan que las usen.
Que hotmail.com por ejemplo utilice cookies no significa que el mundo entero está seguro. Vean por ejemplo este artículo de como hackear el hotmail (que me encantó por cierto el ingenio utilizado)
http://www.net-force.nl/files/articles/hotmail_xss/
Ahora, el uso de cookies envenenados es una técnica conocida para hacerse pasar por un usuario (impersonalización o suplantación) que, dependiendo de los roles y los accesos que tenga el usuario podrían representar serios problemas para una aplicación (en cuanto a seguridad se refiere). Vemoas por ejemplo,
http://www.windowsecurity.com/uplart...ningByline.pdf que explica una técnica para hacerlo.
La pregunta es, voy a utilizar la brecha de seguridad que emplean las cookies para rescatar el estado de cuentas de la carnicería de la esquina? o lo haré para rescatar las cuentas de Angelina Jolie?
Dependiendo de donde se encuentra el tesoro. Carne y carne
.
Pero si me voy a hacer pasar por alguien, o si alguien se hará pasar por alguien no será para autodañarse, sino para lograr acceso, vía web, a lugares prohibidos o delicados.